Интеграция с Kaspersky Endpoint Detection and Response Optimum
Kaspersky Endpoint Detection and Response Optimum – решение, предназначенное для защиты IT-инфраструктуры организации от таких угроз, как эксплойты (англ. exploits), программы-вымогатели (англ. ransomware), бесфайловые атаки (англ. fileless attacks) и использование злоумышленниками законных системных инструментов для нанесения вреда устройствам или данным.
Kaspersky Endpoint Detection and Response Optimum выполняет мониторинг и анализ развития угрозы, а также предоставляет сотруднику службы безопасности или администратору информацию о потенциальной атаке, необходимую для принятия своевременных действий по реагированию.
Интеграцию приложения Kaspersky Endpoint Security с решением Kaspersky Endpoint Detection and Response Optimum обеспечивает компонент приложения Kaspersky Endpoint Security – Endpoint Detection and Response Optimum (далее также EDR Optimum).
Приложение Kaspersky Endpoint Security 12.1 для Linux совместимо с решением Kaspersky Endpoint Detection and Response Optimum версии 3.0.
В составе Kaspersky Endpoint Security для Linux версии ниже 12.1 компонент EDR Optimum отсутствует.
Kaspersky Endpoint Detection and Response Optimum использует следующие средства анализа угроз (Threat Intelligence):
- Инфраструктура облачных служб Kaspersky Security Network (далее также KSN), предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-сайтов и программного обеспечения.
- Интеграция с порталом Kaspersky Threat Intelligence Portal, который содержит и отображает информацию о репутации файлов и веб-сайтов.
- База угроз "Лаборатории Касперского" Kaspersky Threats.
При взаимодействии с Kaspersky Endpoint Detection and Response Optimum приложение Kaspersky Endpoint Security может выполнять следующие функции:
- Отправлять в Kaspersky Security Center данные о событиях на устройствах. Приложение Kaspersky Endpoint Security передает в Kaspersky Security Center данные наблюдения за процессами, открытыми сетевыми соединениями и изменяемыми файлами, а также данные об угрозах, обнаруженных приложением, и данные о результатах обработки этих угроз.
- Выполнять ответные действия, направленные на обеспечение функций безопасности, по командам, полученным от Kaspersky Security Center.
Интеграция с Kaspersky Endpoint Detection and Response Optimum состоит из следующих этапов:
- Включение необходимых компонентов Kaspersky Endpoint Security
Убедитесь, что следующие компоненты Kaspersky Endpoint Security включены и работают:
- Включение средств анализа угроз
Убедитесь, что включен Kaspersky Security Network в стандартном или расширенном режиме.
Для наиболее эффективной работы Kaspersky Endpoint Detection and Response Optimum рекомендуется использовать Kaspersky Security Network в расширенном режиме.
- Активация компонента EDR Optimum
Убедитесь, что соблюдено одно из следующих условий:
- Вы используете приложение Kaspersky Endpoint Security по лицензии, которая включает функциональность Kaspersky Endpoint Detection and Response Optimum.
- Вы приобрели отдельную лицензию на использование функциональности Kaspersky Endpoint Detection and Response Optimum и добавили в приложение дополнительный лицензионный ключ EDR Optimum.
- Включение интеграции с решением Kaspersky Endpoint Detection and Response Optimum
По умолчанию интеграция Kaspersky Endpoint Security с Kaspersky Endpoint Detection and Response Optimum выключена. Вы можете включать и выключать интеграцию, а также настраивать параметры интеграции:
- с помощью Web Console;
- с помощью командной строки.
Управление компонентом EDR Optimum с помощью Консоли администрирования Kaspersky Security Center не поддерживается.
Вы можете проверить статус работы компонента EDR Optimum:
- C помощью Отчета о статусе компонентов приложения в Web Console.
В список компонентов Kaspersky Endpoint Security добавлен компонент Endpoint Detection and Response Optimum. Подробную информацию о работе с отчетами см. в справке Kaspersky Security Center.
- В свойствах устройства в Web Console.
- С помощью командной строки.
- Включение передачи данных на Сервер администрирования
Для использования всех возможностей Kaspersky Endpoint Detection and Response Optimum вам нужно включить следующие параметры:
- Информирование о файлах в резервном хранилище включено/выключено.
Вы можете включить этот параметр в свойствах политики в разделе Параметры приложения → Общие параметры → Параметры Хранилища.
Включив этот параметр, вы разрешите передачу в Kaspersky Security Center информации о файлах, помещенных приложением Kaspersky Endpoint Security в резервное хранилище на устройстве.
- Показать EDR-алерты.
Вы можете включить этот параметр в главном окне Web Console в разделе Параметры → Параметры интерфейса.
Включив этот параметр, вы разрешите отображение списка алертов.
Параметр Показать EDR-алерты отсутствует в Web Console версии ниже 15.1.
- Информирование о файлах в резервном хранилище включено/выключено.